Помогите, люди добрые, начинающему сисадмину!
Нужен хороший firewall и хороший антивирусник для 2000 server! заранее очень благодарен!
Нужен хороший firewall и хороший антивирусник для 2000 server! заранее очень благодарен!
» Защита от атак: выбор фаервола и антивируса для сисадмина
че значит хороший?
че конкретно должен делать фаервол
(немного туповат умя вопрос но ниче ..)
антивирус имхо авп .. серверную версию
че конкретно должен делать фаервол
(немного туповат умя вопрос но ниче ..)
антивирус имхо авп .. серверную версию
А VisNetic Firewall не подойдет? на мой взгляд хороший фаервул. Работает по принципу "то что что не разрешено то запрещено".
Svyazist
Kerio Personal Firewall или (более серьезный продукт) Kerio WinRoute Firewall
http://www.kerio.com/products.html
Kerio Personal Firewall или (более серьезный продукт) Kerio WinRoute Firewall
http://www.kerio.com/products.html
mymuss
Я так понял что человеку нужен фаервул для сетки а не на частный комп. Из всех я бы все таки остановился на виснетике. он обсуждается вот здесь:
http://forum.ru-board.com/topic.cgi?forum=5&topic=8649&start=20
SecurityLab
Цитата:
http://www.securitylab.ru/tools/?ID=40013&R=0.ML.Soft
Я так понял что человеку нужен фаервул для сетки а не на частный комп. Из всех я бы все таки остановился на виснетике. он обсуждается вот здесь:
http://forum.ru-board.com/topic.cgi?forum=5&topic=8649&start=20
SecurityLab
Цитата:
Deerfield VisNetic Firewall 2.07
Visnetic Firewall - эволюция файрволла легенды -Conseal PC Firewall. Представляет собой эффективное и легко внедряемое средство защиты корпоративных сетей и отдельных рабочих станций. Он обеспечивает уровень безопасности, сопоставимый со значительно более дорогими решениями и может больше чем просто фильтровать трафик - компонент программы Stateful Inspection проверяет поступающие пакеты на соответствие реальным запросам, что важно при отражении DoS атак.
Платформы: Windows ALL
http://www.securitylab.ru/tools/?ID=40013&R=0.ML.Soft
TROL
Winroute Firewall 5 вполне неплохо подходит для корпоративной сетки. ВизНетик я не пробовал, но к продуктам Deerfield отношусь крайне положительно
НО:
во-первых, Kerio дешевле (просто интересно, хоть кто-то в наших краях его купил
)
во-вторых, к нему прикручивается McAfee (можно прямо вместе купить)
Winroute Firewall 5 вполне неплохо подходит для корпоративной сетки. ВизНетик я не пробовал, но к продуктам Deerfield отношусь крайне положительно
НО:
во-первых, Kerio дешевле (просто интересно, хоть кто-то в наших краях его купил
) во-вторых, к нему прикручивается McAfee (можно прямо вместе купить)
mymuss
Цитата:
Не понял! Это что? Преимущество?
Начнем с того что макафи я ставил вместе с виснетиком. Ни каких проблем не наблюдал.
И второе. Я вообще не понимаю зачем ставить 2 фаервула. Если ты говоришь об антивирусе то тем более нет никаких проблем ставь любой! В макафи нет и половины того что может виснетик. например гибкая настройка правил (рулесов) может позволить тебе так настроить фаервул что пробить его будет очень проблематично. Например бан IP по одному порту один чего стоит. А если добавить еще и систему обнаружения атаки.....
Цитата:
во-вторых, к нему прикручивается McAfee (можно прямо вместе купить)
Не понял! Это что? Преимущество?
Начнем с того что макафи я ставил вместе с виснетиком. Ни каких проблем не наблюдал.
И второе. Я вообще не понимаю зачем ставить 2 фаервула. Если ты говоришь об антивирусе то тем более нет никаких проблем ставь любой! В макафи нет и половины того что может виснетик. например гибкая настройка правил (рулесов) может позволить тебе так настроить фаервул что пробить его будет очень проблематично. Например бан IP по одному порту один чего стоит. А если добавить еще и систему обнаружения атаки.....
TROL
Цитата:
Да.
Цитата:
Ты хочешь сказать, что у тебя макафи фильтровал входящий HTTP/FTP траффик на предмет наличия там вирусов? Может, конечно, визнетик так и умеет, я не берусь утверждать. Но, по крайней мере, на официальном сайте подобная фича не упомянута (http://www.deerfield.com/products/visnetic-firewall/features/)
Цитата:
Где в моих словах ты видишь что-то про 2 файрвола?
Цитата:
Это что? Преимущество
Да.
Цитата:
макафи я ставил вместе с виснетиком
Ты хочешь сказать, что у тебя макафи фильтровал входящий HTTP/FTP траффик на предмет наличия там вирусов? Может, конечно, визнетик так и умеет, я не берусь утверждать. Но, по крайней мере, на официальном сайте подобная фича не упомянута (http://www.deerfield.com/products/visnetic-firewall/features/)
Цитата:
Я вообще не понимаю зачем ставить 2 фаервула
Где в моих словах ты видишь что-то про 2 файрвола?
mymuss
Извени. Я действительно не понял. Но поповоду антивируса. То я вообще не вижу проблемы. И почему именно макафи? ставь любой! И ты где нибудь вообще видел чтобы Фаервул мешал антивирусу? Я нет. И еще: фильтрутся не трафик а сканируется уже принятый файл. пока файл не загрузился к тебе на комп ты ничего про него не узнаешь.
Извени. Я действительно не понял. Но поповоду антивируса. То я вообще не вижу проблемы. И почему именно макафи? ставь любой! И ты где нибудь вообще видел чтобы Фаервул мешал антивирусу? Я нет. И еще: фильтрутся не трафик а сканируется уже принятый файл. пока файл не загрузился к тебе на комп ты ничего про него не узнаешь.
TROL
Цитата:
Цитата:
Да, согласен. Но что если в сетке юзер тянет, скажем, по НАТу зараженный файл. В связке Firewall+Antivirus он отфильтруется и не будет отдан юзеру.
С Керио можно поставить (так чтобы интегрировать) несколько разных антивирусов, в т.ч. Symantec.
Цитата:
И почему именно макафи? ставь любой!
Цитата:
И еще: фильтрутся не трафик а уже принятый файл. пока файл не загрузился к тебе на комп ты ничего про него не узнаешь.
Да, согласен. Но что если в сетке юзер тянет, скажем, по НАТу зараженный файл. В связке Firewall+Antivirus он отфильтруется и не будет отдан юзеру.
С Керио можно поставить (так чтобы интегрировать) несколько разных антивирусов, в т.ч. Symantec.
mymuss
Я не совсем с тобой согласен. Начнем с того что монитор антивируса сам занимается отслеживанием заражонных файлов. И еще..... если ты хочешь например сделать так что бы заражонный файл не попал к юзеру то это уже вопрос не фаервула с антивирусом а вопрос администрирования и кофигурации сети. т.е. файл попадает сначало на головной комп там проверяется и затем отдается юзеру. в 2 этапа.
Я не совсем с тобой согласен. Начнем с того что монитор антивируса сам занимается отслеживанием заражонных файлов. И еще..... если ты хочешь например сделать так что бы заражонный файл не попал к юзеру то это уже вопрос не фаервула с антивирусом а вопрос администрирования и кофигурации сети. т.е. файл попадает сначало на головной комп там проверяется и затем отдается юзеру. в 2 этапа.
TROL
Цитата:
Ну дык я ж тоже про это и говорю. Просто в связке, которую предлагает Kerio все это автоматизировано, т.е. тебе не надо настраивать отдельно антивирус, отдельно файрвол и прикручивать одно к другому. Все интегрировано.
Цитата:
файл попадает сначало на головной комп там проверяется и затем отдается юзеру. в 2 этапа
Ну дык я ж тоже про это и говорю. Просто в связке, которую предлагает Kerio все это автоматизировано, т.е. тебе не надо настраивать отдельно антивирус, отдельно файрвол и прикручивать одно к другому. Все интегрировано.
mymuss
Ничего не понимаю! Причем здесь фаервул к антивирусу? Зачем один прикручивать к другому? Что то похожее на интеграцию ежа с ужом получается моток колючей проволоки. Программы разные и у них разная задача. И никогда не требовалось одно прикручивать к другому. Тут скорее менеджер закачки можно прикрутить к антивирусу а не фаервул. Хотя чудеса всякие бывают швейную машинку "Зингер" можно к пилораме прикрутить было бы желание. Фаервул это посути резатель трафика и не больше! О какой автоматизации ты говоришь? И вот еще вопрос. Керио сколько модемов может отслеживать ? У керио есть наглядный лог моноторинг пакетов из которого можно многновенно сделать рулес в случае обнаружения нежелательной конекции или подозрения на такую? Я пользовался керио там таким и не пахнет. У меня стоит сервер.... И сколько бы я ни настраивал керио все равно оставалась серьезная уязвимость. После установки и изучения виснетика все проблемы отпали сами собой. его и настраивать то особо не надо
Цитата:
Ничего не понимаю! Причем здесь фаервул к антивирусу? Зачем один прикручивать к другому? Что то похожее на интеграцию ежа с ужом получается моток колючей проволоки. Программы разные и у них разная задача. И никогда не требовалось одно прикручивать к другому. Тут скорее менеджер закачки можно прикрутить к антивирусу а не фаервул. Хотя чудеса всякие бывают швейную машинку "Зингер" можно к пилораме прикрутить было бы желание. Фаервул это посути резатель трафика и не больше! О какой автоматизации ты говоришь? И вот еще вопрос. Керио сколько модемов может отслеживать ? У керио есть наглядный лог моноторинг пакетов из которого можно многновенно сделать рулес в случае обнаружения нежелательной конекции или подозрения на такую? Я пользовался керио там таким и не пахнет. У меня стоит сервер.... И сколько бы я ни настраивал керио все равно оставалась серьезная уязвимость. После установки и изучения виснетика все проблемы отпали сами собой. его и настраивать то особо не надо
Цитата:
Работает по принципу "то что что не разрешено то запрещено".
TROL
Согласен на все 100 с твоим умозаключением
У меня работает WinRoute 4.2.5. - как фильтр пакетов - я доволен
поставил еще Outpost - только вот до сих пор не могу понять - зачем я это сделал?
стоит он себе в разрешенном режиме - банеры режет и рекламу - а и пусть стоит - денег не просит за работу
А вообще на мой взгляд фаирволчик должен быть нечто типа ISA Server (это я про винду, т.к. в линухе полный 0), но у него есть минус - клиентская часть, хотя это может быть и плюсом
ИМХО для фаира надо линукс учить
Согласен на все 100 с твоим умозаключением
У меня работает WinRoute 4.2.5. - как фильтр пакетов - я доволен
поставил еще Outpost - только вот до сих пор не могу понять - зачем я это сделал?
стоит он себе в разрешенном режиме - банеры режет и рекламу - а и пусть стоит - денег не просит за работу
А вообще на мой взгляд фаирволчик должен быть нечто типа ISA Server (это я про винду, т.к. в линухе полный 0), но у него есть минус - клиентская часть, хотя это может быть и плюсом
ИМХО для фаира надо линукс учить
vworld
Цитата:
Опять не понял! Зачем? если ты считаешь что в линухе фаер лучше то уверяю тебя ты ошибаешься. Возможно ты не поверишь но линух после того как ты его установил и не успел настроить не менее дырявый и масдайный чем виндовс. любая OS нуждается в патчах различных системах защиты и прочем и прочем..... к тому же фаер отнюдь не панацея. при определенной квалификации фаейр можно обойти причом любой. Здесь вопрос стоит об оптимальном фаере для локалки. я предложил виснетик как на мой взгляд самый удобный. хотя сколько людей столько мнений. но все таки попробовать его стоит.
Цитата:
ИМХО для фаира надо линукс учить
Опять не понял! Зачем? если ты считаешь что в линухе фаер лучше то уверяю тебя ты ошибаешься. Возможно ты не поверишь но линух после того как ты его установил и не успел настроить не менее дырявый и масдайный чем виндовс.
любая OS нуждается в патчах различных системах защиты и прочем и прочем..... к тому же фаер отнюдь не панацея. при определенной квалификации фаейр можно обойти причом любой. Здесь вопрос стоит об оптимальном фаере для локалки. я предложил виснетик как на мой взгляд самый удобный. хотя сколько людей столько мнений. но все таки попробовать его стоит. Au народ вы дату поста смотрели? но если уж чисто пофлеимить то очень много зависит от сетки ее размеров, требовании и насколько критична информация которая крутится внутри. От этого надо исходить. А вы просто рассуждаете о своиствах того или иного не привязывая к чемуто конкретно взяв даже на обум виртуальную сеть. Имхо для 5-7 компов просто связаных между собой(с некритичной инфор.) может хватить и фаерволла в хр толково настроенного. Не в обиду.
и если уж флеимить по полной но имхо со смыслом. то нужно брать кокретную виртуальную сеть с конкретными задачами и тереотически попробовать обсудить различные варианты.ее защиты.
и если уж флеимить по полной но имхо со смыслом. то нужно брать кокретную виртуальную сеть с конкретными задачами и тереотически попробовать обсудить различные варианты.ее защиты.
Borgia
Цитата:
Поддерживаю, только с одной проблемой: новые темы создавать нельзя
, а ответа на вопрос фаерволл для _сервера_ я не нашёл, видимо TROL и mymuss тоже, вот здесь и развели.
Подскажи, плз, что на сервер поставить, а то говорят Outpost - это клиентский, а так хотелось... Сеть чуть меньше 100 компов, домен, MS SQL.
Цитата:
Au народ вы дату поста смотрели?
Поддерживаю, только с одной проблемой: новые темы создавать нельзя
, а ответа на вопрос фаерволл для _сервера_ я не нашёл, видимо TROL и mymuss тоже, вот здесь и развели. Подскажи, плз, что на сервер поставить, а то говорят Outpost - это клиентский, а так хотелось...
Сеть чуть меньше 100 компов, домен, MS SQL.Цитата:
Поддерживаю, только с одной проблемой: новые темы создавать нельзя , а ответа на вопрос фаерволл для _сервера_ я не нашёл, видимо TROL и mymuss тоже, вот здесь и развели.
Подскажи, плз, что на сервер поставить, а то говорят Outpost - это клиентский, а так хотелось... Сеть чуть меньше 100 компов, домен, MS SQL.
Для майкросовтовских серверов существует майкросовтовский же фаервол (плюс прокся в одном флаконе) называется Microsoft Internet Security and Acceleration Server, он ставиться только на сервера.
Duke Shadow
Цитата:
ты вначале определись какие задачи перед тобой и твоей сеткой стоят. Что намечается на будущее. Что от кого и почему ты собираешся защищать и какую информацию. И какая информация для тебя критична.
По твоему вопросу можно понять что ты собираешся защищать сервер. Что за сервер какие его задачи в сети и что на нем стоит и тд. . Очень мало ты даеш информации. о твое конфигурации сети.( Сетка скажем так не фирмочка из десятка компов) Поими поставить фаерволл это треть дела.
Важно продумать построение сети ведь очень многое можно и нужно сделать по защите и внутри сети встроенными средствами. Так что ты определись и напиши здесь а народ будет давать предложения и советы. А так у тебя вопрос народ я тут тачку приобрел какие калеса посоветуете.
Цитата:
а ответа на вопрос фаерволл для _сервера_ я не нашёл,
ты вначале определись какие задачи перед тобой и твоей сеткой стоят. Что намечается на будущее. Что от кого и почему ты собираешся защищать и какую информацию. И какая информация для тебя критична.
По твоему вопросу можно понять что ты собираешся защищать сервер. Что за сервер какие его задачи в сети и что на нем стоит и тд. . Очень мало ты даеш информации. о твое конфигурации сети.( Сетка скажем так не фирмочка из десятка компов) Поими поставить фаерволл это треть дела.
Важно продумать построение сети ведь очень многое можно и нужно сделать по защите и внутри сети встроенными средствами. Так что ты определись и напиши здесь а народ будет давать предложения и советы. А так у тебя вопрос народ я тут тачку приобрел какие калеса посоветуете.
Цитата:
Microsoft Internet Security and Acceleration Server
Мне эта штука тоже нравится. Плюс ко всему сделали ее мелкософтники, совместно с TFilter и SurfControl считает и режет трафик по дням, неделям и месяцам. Плюс удобный интерфейс в Консоли управлению.
Если надо что-то особенно защитить - ставь цепочку из 2-3 серверов ISA, правильно настраивай и после этого украсть данные сможет только очень крутой профессионал.
ИМХО ISA - штука очень неплохая(один минус - сложна на первых порах)
Цитата:
но у него есть минус - клиентская часть, хотя это может быть и плюсом
Смотря в каком режиме ты его будешь использовать, в SecureNAT никаких клиентских частей на машину-клиент устанавливать не нужно.
mullerwest
Цитата:
В данном варианте вроде бы не будет учета траффика по пользователям....
А мне это важно например!
Цитата:
в SecureNAT никаких клиентских частей на машину-клиент устанавливать не нужно.
В данном варианте вроде бы не будет учета траффика по пользователям....
А мне это важно например!
Krechet
Цитата:
Ну хорошо. Убедил. А вот если стоит не ISA предположим а другой сервер. Напрмер Апаче? Я не пользовался ни разу Microsoft Internet Security and Acceleration Server он подойдет в этом случае? Условия таковы сеть 20 компов задача защитить сервер имеющий выход в инет. Используется NAT. MySQL. На сайте стоит интернет магазин. Т.е. через инет осуществляются финансовые операции. Если информация не достаточна то что еще необходимо сказать?
Добавлено
И к тому же меня немного смущает сложность настройки.
Цитата:
ИМХО ISA - штука очень неплохая
Ну хорошо. Убедил. А вот если стоит не ISA предположим а другой сервер. Напрмер Апаче? Я не пользовался ни разу Microsoft Internet Security and Acceleration Server он подойдет в этом случае? Условия таковы сеть 20 компов задача защитить сервер имеющий выход в инет. Используется NAT. MySQL. На сайте стоит интернет магазин. Т.е. через инет осуществляются финансовые операции. Если информация не достаточна то что еще необходимо сказать?
Добавлено
И к тому же меня немного смущает сложность настройки.
TROL
Вопервых ISA сервер нужно ставить отдельно от апачи и это должна быть твоя стена которая принимает на себя первый удар.
Во вторых не лучше ли будет разделить немного функции . сделать DMZ и в иса сервере опубликовать твой апаче имхо намного безопаснее.
Вопервых ISA сервер нужно ставить отдельно от апачи и это должна быть твоя стена которая принимает на себя первый удар.
Во вторых не лучше ли будет разделить немного функции . сделать DMZ и в иса сервере опубликовать твой апаче имхо намного безопаснее.
Borgia
Цитата:
Честно говоря я до сих пор не понимаю что такое сделать DMZ если я ставлю сервер на комп в сети подключонный по середине между 2 компами на которых установлены фаервулы с задаными строгими правилами то это и будет DMZ ? если да то тогда в чем его преимущество? почему сервер установленный на тот же комп с одним фаервулом считается менее защищонным? И я не совсем понял
Цитата:
Это как? Если можно то немного подробнее. Повторяю иса я ни разу не пользовался. Заранее спасибо.
Цитата:
сделать DMZ
Честно говоря я до сих пор не понимаю что такое сделать DMZ если я ставлю сервер на комп в сети подключонный по середине между 2 компами на которых установлены фаервулы с задаными строгими правилами то это и будет DMZ ? если да то тогда в чем его преимущество? почему сервер установленный на тот же комп с одним фаервулом считается менее защищонным? И я не совсем понял
Цитата:
и в иса сервере опубликовать твой апаче
Это как? Если можно то немного подробнее. Повторяю иса я ни разу не пользовался. Заранее спасибо.
Borgia
Цитата:
Задачи клиентов давно определены: Office, программеры работают с MS SQL, остальное локально на компах. Есть отдельный сервер 1С, но до него меня пока не пускают.
Цитата:
Сервер, от своих же, на всякий случай. Контингент разный, да и за всеми не уследишь, испоганят на серваке что-нибудь, а мне потом разбирайся, а не дай Бог ещё и файлы руководства попрут и сдадут кому-нибудь.
Цитата:
Котроллер домена + MS SQL + файлы пользователей, для админов - Terminal Server в Administration Mode - сервер head-less. В будущем думаю поднять MS SMS 2003.
Цитата:
Можешь считать что обычная локалка - свитч, от него хабы по этажам, далее напрямую к компу. В свитч же воткнут сервер.
Цитата:
Всё уже сделано, политики, профили все заведено, настроено. Backup работает. Windows 2000 Common Criteria Guide зачитан до дыр. Остался фаерволл, причем желательно, чтобы он умел раздавать разрешения по приложениям, как Outpost, но на крайняк можно и по портам - разберёмся как-нибудь.
Если ещё вопросы остались - пиши...
Paltry
Цитата:
Нах мне прокся? Да ещё и клиентов ставить тоже не веселит.
Цитата:
ты вначале определись какие задачи перед тобой и твоей сеткой стоят.
Задачи клиентов давно определены: Office, программеры работают с MS SQL, остальное локально на компах. Есть отдельный сервер 1С, но до него меня пока не пускают.
Цитата:
Что от кого и почему ты собираешся защищать
Сервер, от своих же, на всякий случай. Контингент разный, да и за всеми не уследишь, испоганят на серваке что-нибудь, а мне потом разбирайся, а не дай Бог ещё и файлы руководства попрут и сдадут кому-нибудь.
Цитата:
Что за сервер какие его задачи в сети и что на нем стоит
Котроллер домена + MS SQL + файлы пользователей, для админов - Terminal Server в Administration Mode - сервер head-less. В будущем думаю поднять MS SMS 2003.
Цитата:
Очень мало ты даеш информации. о твое конфигурации сети.
Можешь считать что обычная локалка - свитч, от него хабы по этажам, далее напрямую к компу. В свитч же воткнут сервер.
Цитата:
Важно продумать построение сети ведь очень многое можно и нужно сделать по защите и внутри сети встроенными средствами.
Всё уже сделано, политики, профили все заведено, настроено. Backup работает. Windows 2000 Common Criteria Guide зачитан до дыр. Остался фаерволл, причем желательно, чтобы он умел раздавать разрешения по приложениям, как Outpost, но на крайняк можно и по портам - разберёмся как-нибудь.
Если ещё вопросы остались - пиши...
Paltry
Цитата:
майкросовтовский же фаервол (плюс прокся в одном флаконе)
Нах мне прокся? Да ещё и клиентов ставить тоже не веселит.
Если честно я так и не понял зачем тебе на сервере фаервол.
1 если на сервере папки пользователей создай разрешния с помощью .NTFS опция секьюрити. Кому куда можно и что можно. включи Аудит поставь аудит на фаилы начальства . в конце концов есть шифрование. Вообще имхо не самая лучшая идея на
Котроллере домена фаилы пользователей. но если нет выбора то нет . Но имхо тебе фаерволл совсем не нужен на Котроллере домена . Все что ты сказал делается с NTFS пермишен.
Цитата:
Добавлено
TROL
http://www.isaserver.org/ если с английским не туго посмотри здесь там все описано.Очень много статей по исе . если нужна литература обратись через PM.
Добавлено
TROL
http://www.isaserver.org/ если с английским не туго посмотри здесь там все описано.Очень много статей по исе . если нужна литература обратись через PM.
1 если на сервере папки пользователей создай разрешния с помощью .NTFS опция секьюрити. Кому куда можно и что можно. включи Аудит поставь аудит на фаилы начальства . в конце концов есть шифрование. Вообще имхо не самая лучшая идея на
Котроллере домена фаилы пользователей. но если нет выбора то нет . Но имхо тебе фаерволл совсем не нужен на Котроллере домена . Все что ты сказал делается с NTFS пермишен.
Цитата:
Остался фаерволл, причем желательно, чтобы он умел раздавать разрешения по приложениям, как OutpostС какими приложениями работают пользователи на Котроллере домена? И какие порты ты собираешся закрывать.?
Добавлено
TROL
http://www.isaserver.org/ если с английским не туго посмотри здесь там все описано.Очень много статей по исе . если нужна литература обратись через PM.
Добавлено
TROL
http://www.isaserver.org/ если с английским не туго посмотри здесь там все описано.Очень много статей по исе . если нужна литература обратись через PM.
Что касаеться антивируса то советую Касперский сервер, могу залить !!! На счет фаервола сказать ни чего не могу, так как сколько людей столько мнений У меня порты айтигуардом перекрыты!!!
Borgia
Цитата:
Ага, а трояны, вирусы и иже с ними. А ещё ограничение доступа к портам терминального сервера только с машин админов, а к MS SQL только с тех машин, которым он нужен. Ведь поломают сервер, так трояна подвесят на свободный порт как пить дать, да ещё и логи подчистят. Да и вообще система безопасности без фаервола какая-то хромая получается.
Цитата:
Я ж говорил уже: MS SQL + NetBIOS(т.е. файлы складывают), дополнительно админам - Terminal Services.
А прошу я фаерволл прикладного уровня исключительно с одной целью - MS SQL Server (а возможно и ещё кто-нибудь) умеет открывать себе дополнительные порты, кроме родного. Так чтобы не мучаться - прописать, что MS SQL имеет право ломиться в сеть на определенные IP-адреса и не нужно отыскивать порты, по которым он это делает, чтобы правильно правила прописать.
Цитата:
Но имхо тебе фаерволл совсем не нужен на Котроллере домена . Все что ты сказал делается с NTFS пермишен.
Ага, а трояны, вирусы и иже с ними. А ещё ограничение доступа к портам терминального сервера только с машин админов, а к MS SQL только с тех машин, которым он нужен. Ведь поломают сервер, так трояна подвесят на свободный порт как пить дать, да ещё и логи подчистят. Да и вообще система безопасности без фаервола какая-то хромая получается.
Цитата:
С какими приложениями работают пользователи на Котроллере домена?
Я ж говорил уже: MS SQL + NetBIOS(т.е. файлы складывают), дополнительно админам - Terminal Services.
А прошу я фаерволл прикладного уровня исключительно с одной целью - MS SQL Server (а возможно и ещё кто-нибудь) умеет открывать себе дополнительные порты, кроме родного. Так чтобы не мучаться - прописать, что MS SQL имеет право ломиться в сеть на определенные IP-адреса и не нужно отыскивать порты, по которым он это делает, чтобы правильно правила прописать.
Предыдущая тема: Ошибка в Event Viewer (EventID) и др. системные ошибки Win
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.